Omówienie zakresu w usłudze Azure Policy
Istnieje wiele ustawień, które określają, które zasoby mogą być oceniane i które zasoby są oceniane przez usługę Azure Policy. Podstawową koncepcją tych kontrolek jest zakres. Zakres w usłudze Azure Policy jest oparty na sposobie działania zakresu w usłudze Azure Resource Manager. Aby zapoznać się z ogólnym omówieniem, zobacz Zakres w usłudze Azure Resource Manager.
W tym artykule wyjaśniono znaczenie zakresu w usłudze Azure Policy oraz powiązane obiekty i właściwości.
Lokalizacja definicji
Pierwszym zakresem wystąpienia używanym przez usługę Azure Policy jest utworzenie definicji zasad. Definicja może zostać zapisana w grupie zarządzania lub subskrypcji. Lokalizacja określa zakres, do którego można przypisać inicjatywę lub zasady. Zasoby muszą znajdować się w hierarchii zasobów lokalizacji definicji, która ma być docelowa dla przypisania. Zasoby objęte usługą Azure Policy opisują sposób oceniania zasad.
Jeśli lokalizacja definicji to:
- Subskrypcja — subskrypcja, w której zdefiniowano zasady, i zasoby w ramach tej subskrypcji można przypisać definicję zasad.
- Grupa zarządzania — grupa zarządzania, w której zdefiniowano zasady, a zasoby w podrzędnych grupach zarządzania i subskrypcjach podrzędnych można przypisać definicję zasad. Jeśli planujesz zastosować definicję zasad do kilku subskrypcji, lokalizacja musi być grupą zarządzania zawierającą każdą subskrypcję.
Lokalizacja powinna być kontenerem zasobów współużytkowany przez wszystkie zasoby, dla których chcesz użyć definicji zasad. Ten kontener zasobów jest zazwyczaj grupą zarządzania w pobliżu głównej grupy zarządzania.
Zakresy przypisania
Przypisanie ma kilka właściwości, które ustawiają zakres. Użycie tych właściwości określa, który zasób usługi Azure Policy ma oceniać i które zasoby są liczone w kierunku zgodności. Te właściwości są mapowe na następujące pojęcia:
Dołączanie — hierarchia zasobów lub pojedynczy zasób powinny być oceniane pod kątem zgodności z definicją. Zakres miejsca, w którym znajduje się obiekt przypisania, określa, co należy uwzględnić i ocenić pod kątem zgodności. Aby uzyskać więcej informacji, zobacz Definicja przypisania.
Wykluczenie — hierarchia zasobów lub pojedynczy zasób nie powinny być oceniane pod kątem zgodności z definicją. Właściwość
properties.notScopestablicy w obiekcie przypisania określa, co należy wykluczyć. Zasoby w tych zakresach nie są oceniane ani uwzględniane w liczbie zgodności. Aby uzyskać więcej informacji, zobacz Definicja przypisania — wykluczone zakresy.
Oprócz właściwości przypisania zasad jest obiekt wykluczania zasad. Wykluczenia rozszerzają historię zakresu, udostępniając metodę identyfikowania części przypisania, która nie ma być oceniana.
Wykluczenie — hierarchia zasobów lub pojedynczy zasób powinny być oceniane pod kątem zgodności z definicją, ale nie zostaną ocenione z powodu takiego jak zwolnienie lub ograniczenie ryzyka za pomocą innej metody. Zasoby w tym stanie są wyświetlane jako Wykluczone w raportach zgodności, aby można je było śledzić. Obiekt wykluczenia jest tworzony w hierarchii zasobów lub pojedynczy zasób jako obiekt podrzędny, który określa zakres wykluczenia. Hierarchia zasobów lub pojedynczy zasób mogą być wykluczone z wielu przypisań. Wykluczenie można skonfigurować tak, aby wygasało zgodnie z harmonogramem
expiresOnprzy użyciu właściwości . Aby uzyskać więcej informacji, zobacz Definicja wykluczenia.Uwaga
Ze względu na wpływ przyznania wykluczenia dla hierarchii zasobów lub pojedynczego zasobu wykluczenia mają dodatkowe środki zabezpieczeń. Oprócz wymagania
Microsoft.Authorization/policyExemptions/writeoperacji w hierarchii zasobów lub pojedynczego zasobu twórca wykluczenia musi miećexempt/Actionczasownik w przypisaniu docelowym.
Porównanie zakresu
Poniższa tabela zawiera porównanie opcji zakresu:
| Inkluzywność | Wykluczenie (notScopes) | Zwolnienie | |
|---|---|---|---|
| Zasoby są oceniane | ✔ | - | - |
| Obiekt usługi Resource Manager | - | - | ✔ |
| Wymaga modyfikowania obiektu przypisania zasad | ✔ | ✔ | - |
Jak więc wybrać, czy używać wykluczenia, czy wykluczenia? Zazwyczaj zaleca się trwałe pomijanie oceny dla szerokiego zakresu, takiego jak środowisko testowe, które nie wymaga tego samego poziomu ładu. Wyjątki są zalecane w przypadku scenariuszy związanych z czasem lub bardziej szczegółowymi scenariuszami, w których hierarchia zasobów lub zasobów powinna być nadal śledzona i w przeciwnym razie będzie oceniana, ale nie powinno być oceniane pod kątem zgodności.
Następne kroki
- Dowiedz się więcej o strukturze definicji zasad.
- Dowiedz się, jak programowo tworzyć zasady.
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak korygować niezgodne zasoby.
- Sprawdź, co to jest grupa zarządzania za pomocą funkcji Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.